以前 apache の GeoIP モジュールを使用して海外からのアクセスを拒否する設定をしていました。
GeoIPを使用してWebサーバのアクセスを国内だけに制限する
今回は Nginx で拒否する方法を考えてみました。
1. 国別のIPアドレスリストを取得
国別の IPv4 アドレスリストを加工して公開してくださっている方がいるので、これを利用します。
— 世界の国別 IPv4 アドレス割り当てリスト —
http://nami.jp/ipv4bycc/
このサイトから、CIDR表記版の gzip ファイルをダウンロードします。
# wget http://nami.jp/ipv4bycc/cidr.txt.gz # gunzip cidr.txt.gz このファイルにはCIDR表記のIPアドレスと割り当て国コードが記載されています。
AD 85.94.160.0/19 AD 91.187.64.0/19 AD 109.111.96.0/19 ... 2. Nginxのアクセス元IPアドレス許可ルールを作成
今回は 日本国内のみ許可 → 海外拒否 とします。
まず全拒否:
deny all; 次に国別IPv4リストから JP 行のみ抽出し Nginx 用に整形
出力先 /etc/nginx/allow.conf
# sed -n 's/^JP\t\(.*\)/allow \1;/p' cidr.txt > /etc/nginx/allow.conf Apache 例(参考):
# echo "Order allow,deny" > .htaccess # echo "Allow from all" >> .htaccess # sed -n 's/^JP\t/Allow from /p' cidr.txt >> .htaccess 3. Nginx設定に組み込み
/etc/nginx/nginx.conf の include conf.d/*.conf より前に追加
http { ... include /etc/nginx/allow.conf; include /etc/nginx/conf.d/*.conf; } 設定反映:
# /etc/init.d/nginx configtest # /etc/init.d/nginx reload 拒否ログは error.log に出る:
2017/01/25 23:23:54 [error] access forbidden by rule, client: 114.40.25.38 4. スクリプト化例
#!/bin/bash cd /usr/local/src/ wget http://nami.jp/ipv4bycc/cidr.txt.gz gunzip cidr.txt.gz echo 'deny all;' > /etc/nginx/conf.d/allow.conf sed -n 's/^JP\t\(.*\)/allow \1;/p' cidr.txt >> /etc/nginx/conf.d/allow.conf /etc/rc.d/init.d/nginx reload rm -f cidr.txt exit 日本以外を許可したい場合は国コードを変更するだけで応用可能。 便利で楽です。